No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG 2010 - Content Filtering
 Blocco Teamviewer ed altri sistemi di remotizzazio
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic   

paolinjo
Junior Member

131 Posts

Posted - 08/06/2011 :  18:55:27  Show Profile  Reply with Quote
Ciao ragazzi
buona sera.
per accedere ai nostri PC aziendali abbiamo usato la politica della VPN + Desktop remoto per evitare che possano essere pubblicate le porte dei siongoli PC all'esterno.
Se però un utente lascia la connessione con teamviewer in ascolto e si segna il codice di accesso da remoto è possibile accedere
come è possibile bloccare tale servizio ?
con un filtro ? o bloccando le porte ?
grazie

IsaCab
Moderator

4298 Posts

Posted - 09/06/2011 :  12:28:52  Show Profile  Reply with Quote
Ciao,

per prima cosa con una politica (nel senso di policy AD) più restrittiva e monitorata.

Poi usando i filtri http tramite signature.

Chiaramente i client devono essere proxy e non securenat.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 23/06/2011 :  17:58:24  Show Profile  Reply with Quote
Ciao Giulio
grazie per la risposta e scusa se ti rispondo solo ora.
come policy AD posso restringere l'uso dei programmi...
come signature blocco quello che è il passaggio di pacchetti HTTP che contengono specifiche indicate nella signature ?
tks
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 24/06/2011 :  09:30:11  Show Profile  Reply with Quote
Ciao,

l'uso delle signature va bene ma richiede un monitoraggio costante essendo in controllo statico e considerando il fatto che le signature possono cambiare.


Per il tuo problema specifico credo che basti abilitare l'autenticazione (integrata) sulla regola che consente la navigazione. Quindi come ti dicevo disabilitare i securenat.

A questo, se proprio vuoi essere cattivo :-) , aggiundi il controllo sulle signature ...... e poi (questo dovresti farlo a prescindere) creare delle policy su AD n attimino più restrittive in modo particolare sulla installazione di nuovo software lato user.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 24/06/2011 :  16:58:14  Show Profile  Reply with Quote
Ciao Giulio
le policy AD già vietano di installare sw sul proprio PC ma vi è il reparto sviluppatori sw che può installare sw (per forza).
Noi per policy aziendale consentiamo il collegamento da remoto alle proprie macchine solo ed esclusivamente con VPN L2TP (non vi è alcuna pubblicazione di porte RDP in esterno).
i ragazzi dello sviluppo per ovviare alla VPN lasciano installato il teamviewer sulla loro macchina in ufficio e da remoto con altro teamviewer accedono.
ti anticipo che tutti i pc hanno il TMG client installato e le sessioni vengono autenticate.
dato che temviewer usa la porta 443 per il controllo, potrei bloccarne il suo uso inserendolo nel gruppo di URL bloccati (specificando il termine "teamviewer" tra gli oggetti "Gruppo di URL" oppure solo definendo le signature bloccate ?
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 25/06/2011 :  09:21:15  Show Profile  Reply with Quote
Ciao,

vito che hai il fwc sulle postazioni, puoi disabilitare la possibilità del teamviewer di registrarsi disabilitandolo.


A questo puoi aggiungere :


1) Bloccare la porta 5938 con una access rule di tipo deny
2) Filtrare e bloccare le URL : http://*.dyngate.com/* + http://*.teamviewer.com/*

Questo dovrebbe bastare.

Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic   
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association